使用双令牌身份验证

如需在观看者访问流式传输资源时强制执行双令牌身份验证,您需要配置单独的路由。路由是一种配置,用于匹配对媒体 CDN 的请求并将 HTTP 流量定向到源。Media CDN 支持 HTTP Live Streaming (HLS) 或基于 HTTP 的动态自适应流式传输 (DASH) 资源的路线。如需详细了解 Media CDN 中的路由,请参阅配置服务路由

对于 HLS 串流,Media CDN 支持通过 Cookie 和网址查询参数(不使用 Cookie)进行双令牌身份验证。对于 DASH 串流,媒体 CDN 仅支持基于 Cookie 的双令牌身份验证。

本页介绍了如何配置 Media CDN 路线,以便使用双令牌身份验证来保护内容。

准备工作

执行以下操作:

  1. 对于短时效令牌,请选择以下签名算法之一:

    • Ed25519 签名
    • 对称密钥基于哈希的消息身份验证代码 (HMAC)

    您只能为配置为生成新的长时效令牌的路由启用对称 HMAC 签名算法。我们建议您使用 Ed25519 签名以获得最佳性能和安全性,仅在必要时使用对称密钥 HMAC 以实现与其他 CDN 的兼容性。

  2. EdgeCacheKeyset 资源中添加所需的键。

    令牌必须使用 EdgeCacheKeyset 资源中的密钥进行签名或验证。密钥集必须包含所选签名算法对应的正确密钥。下表介绍了每种签名算法及其所需的密钥。

    签名算法 密钥集中的必需密钥
    Ed25519 公钥
    HMAC-SHA1 验证共享密钥
    HMAC-SHA256 验证共享密钥

    最佳实践是创建两个单独的键集,一个用于短时效标记,另一个用于长时效标记。

    不过,如果您使用的是 DASH 和动态媒体呈现说明 (MPD) 文件,则必须为长时段令牌和短时段令牌使用相同的密钥集。

  3. 对于长时效令牌,请选择以下令牌格式之一:

    • Cookie
    • 网址查询参数

设置短时效令牌

根据您要使用的签名算法,使用以下选项之一设置短时令牌。

Ed25519 签名

  1. 生成私钥:

    openssl genpkey -algorithm ed25519 -outform PEM -out SSL_KEY_NAME.private.key
    

    SSL_KEY_NAME 替换为密钥名称。

  2. 从私钥生成公钥:

    openssl pkey -outform DER -pubout -in SSL_KEY_NAME.private.key |\
    tail -c +13 |\
    python3 -c "import base64, sys; print(('%s' % base64.urlsafe_b64encode(sys.stdin.buffer.read()))[2:-1])"
    
  3. 使用单个公钥创建新的密钥集:

    控制台

    1. 在 Google Cloud 控制台中,前往 Media CDN 页面。

      前往“媒体 CDN”

    2. 点击密钥集标签页。

    3. 点击 创建密钥集

    4. 名称中,输入唯一的键集名称。

    5. 可选:对于说明,输入键集的说明。

    6. 可选:点击添加标签,然后为密钥集输入一个或多个键值对。

    7. 点击添加公钥,然后执行以下操作:

      1. ID 部分,输入字母数字 ID。
      2. 选择输入值,然后指定 Ed25519 公钥的 base64 编码值。
    8. 点击创建密钥集

    gcloud

    使用 gcloud edge-cache keysets create 命令

    gcloud edge-cache keysets create SHORT_KEYSET_NAME \
      --public-key='id=SSL_PUBLIC_KEY_NAME,value=SSL_PUBLIC_KEY_VALUE'
    

    替换以下内容:

    • SHORT_KEYSET_NAME:唯一的键集名称,例如 prod-vod-keyset
    • SSL_PUBLIC_KEY_NAME:SSL 公钥的名称
    • SSL_PUBLIC_KEY_VALUE:SSL 公钥的值

    如需查看与键集关联的键,请使用 gcloud edge-cache keysets describe 命令

    gcloud edge-cache keysets describe prod-vod-keyset
    

    输出类似于以下内容:

    name: prod-vod-keyset
    description: "Keyset for prod.example.com"
    publicKeys:
    - id: "key-20200918"
      value: "DThVLjhAKm3VYOvLBAwFZ5XbjVyF98Ias8NZU0WEM9w"
    - id: "key-20200808"
      value: "Lw7LDSaDUrbDdqpPA6JEmMF5BA5GPtd7sAjvsnh7uDA="
    

    Terraform

    resource "google_network_services_edge_cache_keyset" "default" {
      name        = "prod-vod-keyset"
      description = "Keyset for prod.example.com"
      public_key {
        id    = "key-20200918"
        value = "FHsTyFHNmvNpw4o7-rp-M1yqMyBF8vXSBRkZtkQ0RKY" # Update Ed25519 public key
      }
      public_key {
        id    = "key-20200808"
        value = "Lw7LDSaDUrbDdqpPA6JEmMF5BA5GPtd7sAjvsnh7uDA=" # Update Ed25519 public key
      }
    }

对称密钥 HMAC

  1. 如果您之前从未使用过 Secret Manager,请先配置 Secret Manager

  2. 创建 Secret

  3. 以二进制格式添加 Secret 版本

  4. 向 Media CDN 服务账号授予 Secret Manager Access 角色 (roles/secretmanager.secretAccessor):

    控制台

    1. 在 Google Cloud 控制台中,转到 Secret Manager 页面。

      转到 Secret Manager

    2. 选中 Secret 名称旁边的复选框。

    3. 点击显示信息面板

    4. 在信息面板中,点击添加主账号

    5. 新的主账号中,请按以下格式输入媒体 CDN 服务账号:

      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
      

      PROJECT_NUMBER 替换为您的项目编号。

    6. 对于选择角色,请选择 Secret Manager,然后选择 Secret Manager Secret Accessor

    gcloud

    使用 gcloud secrets add-iam-policy-binding 命令

    gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
      --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
      --role="roles/secretmanager.secretAccessor"
    

    替换以下内容:

    • PROJECT_NUMBER:您的项目编号
    • SECRET_ID:Secret 的 ID
  5. 访问您的 Secret 版本并复制 Secret 路径(包括版本号)。

  6. 使用验证共享密钥中的共享密钥创建新的密钥集:

    控制台

    1. 在 Google Cloud 控制台中,前往 Media CDN 页面。

      前往“媒体 CDN”

    2. 点击密钥集标签页。

    3. 点击 创建密钥集

    4. 名称中,输入唯一的键集名称。

    5. 可选:对于说明,输入键集的说明。

    6. 可选:点击添加标签,然后为密钥集输入一个或多个键值对。

    7. 如需指定验证共享密钥,请点击添加验证共享密钥,然后执行以下操作:

      1. 对于 Secret,请从列表中选择一个 Secret,通过指定其资源 ID 手动输入 Secret,或创建新 Secret 并将其选中。

      2. 对于密文版本,请从列表中选择一个版本,或创建新的密文版本,然后选择该版本。

    8. 点击创建密钥集

    gcloud

    使用 gcloud edge-cache keysets create 命令

    gcloud edge-cache keysets create SHORT_KEYSET_NAME \
      --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION'
    

    替换以下内容:

    • SHORT_KEYSET_NAME:键集的唯一名称,例如 prod-vod-keyset
    • PROJECT_NUMBER:您的项目 ID
    • SECRET_ID:Secret 的资源 ID
    • KEY_VERSION:您要使用的 Secret 版本

设置长时令牌

Google 管理的密钥的范围取决于密钥集。这意味着,两个不同的密钥集具有不同的 Google 管理的密钥。Google 管理的密钥会定期轮替。

使用以下任一选项设置长时令牌:

控制台

  1. 创建或修改密钥集

  2. 密钥部分中,选择使用 Google 管理的密钥进行双令牌身份验证

gcloud 和 YAML

您可以使用以下任一选项:

  • 创建 Google 管理的签名密钥:

    gcloud edge-cache keysets create LONG_KEYSET_NAME \
        --public-key='id=google-managed-key,managed=true'
    

    LONG_KEYSET_NAME 替换为密钥名称,例如 prod-vod-keyset-long

  • 修改现有按键集:

    1. 将密钥集导出到 YAML 文件。使用 gcloud edge-cache keysets export 命令

      gcloud edge-cache keysets export LONG_KEYSET_NAME \
         --destination=prod-vod-keyset-long.yaml
      
    2. 在文本编辑器或配置管理工具中,修改键集配置,使其类似于以下内容:

      name: projects/my-project/locations/global/edgeCacheKeysets/LONG_KEYSET_NAME
      publicKeys:
      - id: some-key
        value: MC4CAQAwBQYDK2VwBCIEINV2iYugIWBuvGBJUQ_Ab69E4v4zcVqvgYHw-iZxGzcd
      - id: google-managed-key
        managed: true
      
    3. 导入修改后的键集。使用 gcloud edge-cache keysets import 命令

      gcloud edge-cache keysets import LONG_KEYSET_NAME \
          --source=prod-vod-keyset-long.yaml
      

您可以在长时效令牌密钥集中添加其他公钥。密钥集最多可以包含三个公钥。实际上,这意味着密钥集可以包含两个用户管理的密钥和一个 Google 管理的密钥。

媒体 CDN 始终使用 Google 管理的密钥生成令牌。用户管理的密钥只能用于验证。

添加其他公钥非常有用,因为这样您的播放器应用就可以使用由您自己的私钥生成的已签名请求来访问媒体播放列表和媒体片段。

配置令牌交换

本部分介绍了如何通过创建多个路由来配置令牌交换。借助路线,您可以根据内容类型、客户端属性和新鲜度要求优化行为。在以下示例中,我们使用路由为媒体请求的每个部分配置令牌交换。

将主要清单路由配置为要求使用短时效令牌

将 Media CDN 配置为在主要清单路线上要求使用短时效令牌。

控制台

在主要清单路线上启用短时有效令牌身份验证:

  1. 在 Google Cloud 控制台中,前往 Media CDN 页面。

    前往“媒体 CDN”

  2. 如需打开服务的详细信息页面,请点击相应服务的名称。

  3. 如需切换到修改模式,请点击修改按钮。

  4. 如需前往路由部分,请点击下一步

  5. 展开您要添加主要清单路由规则的主机规则。

  6. 点击添加路由规则

    或者,如需修改路由规则,请点击相应行中的 Edit(修改)。

  7. 修改路由规则窗格中,为优先级设置一个值,例如 1

  8. 说明中,提供简短的说明,以便在规则列表中识别规则。

  9. 匹配部分中,点击添加匹配条件。然后,执行以下操作:

    1. 对于匹配类型,选择路径模板匹配
    2. 对于路径匹配,请指定 HLS 主要播放列表 (M3U8) 或 DASH 清单 (MPD) 文件的名称或路径模板。如需了解详情,请参阅路径匹配
  10. 点击高级配置

  11. 路由操作部分中,点击添加内容

  12. 对于类型,选择 CDN 政策

  13. 已签名请求部分,针对已签名请求模式,选择需要令牌

  14. 已签名请求密钥集部分,执行以下操作:

    1. 如需为短时效令牌指定密钥集,请点击选择密钥集,然后选择您的短时效令牌密钥集

      或者,如需创建包含所需密钥的新密钥集,请点击创建新密钥集。然后选择该集合。

    2. 对于签名算法,选择使用公钥的 Ed25519

    3. 对于令牌查询参数,保留默认值 edge-cache-token

      或者,如果您计划使用 HLS 清单网址查询参数(而非 Cookie)进行身份验证,请指定用于存储请求令牌的参数。

    4. 对于最长生命周期,请指定传入请求令牌的最长生命周期(以秒为单位)。

  15. 如需保存路线操作部分中的更改,请点击完成

  16. 如需保存路线规则中的更改,请点击保存

gcloud 和 YAML

  1. 将您的 Media CDN 配置导出到 YAML 文件。使用 gcloud edge-cache services export 命令

    gcloud edge-cache services export SERVICE_NAME \
        --destination=FILENAME.yaml
    

    替换以下内容:

    • SERVICE_NAME:服务的名称
    • FILENAME:YAML 文件的名称
  2. 如需在主要清单路由规则中启用短时令牌身份验证,请在 YAML 文件的路由 cdnPolicy 部分中指定 signedTokensOptions 配置。

      pathMatchers:
      - name: "ROUTE_NAME"
        routeRules:
        - priority: 1
          description: "ROUTE_DESCRIPTION"
          origin: "ORIGIN_NAME"
          matchRules:
          - pathTemplateMatch: "/MANIFEST_OR_PLAYLIST"
          routeAction:
            cdnPolicy:
              cacheMode: CACHE_ALL_STATIC
              signedRequestMode: REQUIRE_TOKENS
              signedRequestKeyset: SHORT_KEYSET_NAME
              signedRequestMaximumExpirationTtl: SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME
              signedTokenOptions:
                tokenQueryParameter: SHORT_TOKEN_NAME
    

    替换以下内容:

    • ROUTE_NAME:路由规则的名称
    • ROUTE_DESCRIPTION:路由规则的说明
    • ORIGIN_NAME:来源名称
    • MANIFEST_OR_PLAYLIST:HLS 主要播放列表 (M3U8) 或 DASH 清单 (MPD) 文件的名称。如需了解详情,请参阅路径匹配
    • SHORT_KEYSET_NAME:要用于短时效期令牌的键集名称
    • SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME:已签名请求的到期时间,例如 600s。如需了解详情,请参阅 signedRequestMaximumExpirationTtl
    • 可选:SHORT_TOKEN_NAME:用于查找短令牌的查询参数。默认值为 edge-cache-token。如需了解详情,请参阅 SignedTokenOptions

    使用对称密钥 HMAC 时,在 signedTokenOptions 部分中,附加 allowedSignatureAlgorithms,并将其值设为 HMAC_SHA_256

           allowedSignatureAlgorithms:
           - HMAC_SHA_256
    
  3. 如需更新服务,请从 YAML 文件导入您的 Media CDN 配置。使用 gcloud edge-cache services import 命令

    gcloud edge-cache services import SERVICE_NAME \
        --source=FILENAME.yaml
    

至此,启用单令牌身份验证流程已完成。

如需配置双令牌身份验证,请继续阅读以下部分。

配置主要清单路由规则以生成长时令牌

配置 Media CDN 以在主要清单路线上生成长时效令牌。选择 Cookie 或网址查询参数以生成这些令牌。

控制台

修改主要清单路由规则,以便媒体 CDN 能够在路由上生成长时段令牌:

  1. 修改路由规则页面上,点击高级配置
  2. 对于类型,选择 CDN 政策
  3. 展开双令牌身份验证
  4. 签名操作部分,选择生成新的长时令牌
  5. 对于签名类型,请选择以下任一选项:

    • 通过 Cookie(适用于 HLS 和 DASH 流式传输):配置媒体 CDN 以返回包含主要清单响应的 Edge-Cache-Cookie
    • 通过 HLS 清单网址查询参数(不使用 Cookie):配置 Media CDN 以通过向每个网址附加长期令牌来操控 HLS 主要清单。
  6. 生成新的长时令牌部分中,执行以下操作:

    1. 如需为长时效令牌指定密钥集,请点击选择密钥集,然后选择您的长时效令牌密钥集

      或者,点击创建新密钥集,创建包含所需密钥的新密钥集。然后选择该集合。

    2. 对于令牌 TTL,请以秒为单位指定长时令牌的最大生命周期。

    3. 对于签名类型,如果您选择了通过 Cookie 选项,请在复制的参数部分中,选择您希望 Media CDN 从短时令牌复制到长时令牌的参数。如需使用双令牌身份验证,您必须选择 PathGlobs(或其别名 aclpaths)或 URLPrefix

      如果您选择了通过 HLS 清单网址查询参数选项,请为令牌查询参数保留默认值 edge-cache-token

  7. 如需保存路线操作部分中的更改,请点击完成

  8. 如需保存路线规则中的更改,请点击保存

    系统随即会显示一条消息,询问您是要自动还是手动为媒体播放列表和媒体片段创建路由。如果您选择“自动”选项,系统会为 Cookie 签名创建一条新路由,并为无 Cookie 签名创建两条路由。如果您选择了手动选项,请继续学习下一部分。

gcloud 和 YAML

修改主要清单路由规则的 addSignatures 部分,以便 Media CDN 能够在该路由上生成长时效令牌:

Cookie

          addSignatures:
            actions:
              - GENERATE_COOKIE
            keyset: LONG_KEYSET_NAME
            tokenTtl: TOKEN_EXPIRATION_TIME
            copiedParameters:
              - PathGlobs
              - SessionID

替换以下内容:

  • LONG_KEYSET_NAME:长期有效令牌密钥集的名称

  • TOKEN_EXPIRATION_TIME:长时效令牌的到期时间,例如,86400s(表示 1 天的到期时间)

以下代码示例实现了以下更改:

  • addSignatures.actions: GENERATE_COOKIE:将媒体 CDN 配置为返回包含主要清单响应的 Edge-Cache-Cookie

  • copiedParameters.PathGlobs:配置媒体 CDN 以将 PathGlobs 从短时令牌复制到长时令牌。如需使用双令牌身份验证,您必须使用 copiedParameters.PathGlobscopiedParameters.URLPrefix。如需了解详情,请参阅 copiedParameters

  • 可选:copiedParameters.SessionID:配置媒体 CDN 以将 SessionID 从短时令牌复制到长时令牌

应用 GENERATE_COOKIE 操作后,Media CDN 会返回一个 Set-Cookie 标头,该标头与主要清单响应类似,如下所示:

Set-Cookie: Edge-Cache-Cookie=PathGlobs=PATHS~SessionID=SESSION_ID~Expires=EXPIRATION~_GO=Generated~Signature=SIGNATURE

网址查询参数

          addSignatures:
            actions:
              - GENERATE_TOKEN_HLS_COOKIELESS
            keyset: LONG_KEYSET_NAME
            tokenTtl: TOKEN_EXPIRATION_TIME
            copiedParameters:
              - PathGlobs
              - SessionID
            tokenQueryParameter: LONG_TOKEN_NAME

替换以下内容:

  • LONG_KEYSET_NAME:长时段密钥集的名称

  • TOKEN_EXPIRATION_TIME:长时效令牌的到期时间,例如,86400s(表示 1 天)

以下代码示例实现了以下更改:

  • addSignatures.actions: GENERATE_TOKEN_HLS_COOKIELESS:配置 Media CDN 以通过向每个存在的 URI 附加一个长时段令牌来操控 HLS 主清单。

  • copiedParameters.PathGlobs:配置媒体 CDN 以将 PathGlobs 从短时令牌复制到长时令牌。如需使用双令牌身份验证,您必须使用 copiedParameters.PathGlobscopiedParameters.URLPrefix 之一。如需了解详情,请参阅 copiedParameters

  • 可选:copiedParameters.SessionID:配置媒体 CDN 将 SessionID 从短时令牌复制到长时令牌。

  • 可选:LONG_TOKEN_NAME:用于放置生成的长令牌的查询参数。默认值为 edge-cache-token。如需了解详情,请参阅 tokenQueryParameter

以下清单文件显示了应用的 GENERATE_TOKEN_HLS_COOKIELESS 操作:

#EXTM3U
#EXT-X-STREAM-INF:BANDWIDTH=1280000,AVERAGE-BANDWIDTH=1000000
http://example.com/HLS_PRIMARY_PLAYLIST.m3u8?LONG_TOKEN_NAME=PathGlobs=PATHS~SessionID=SESSION_ID~Expires=EXPIRATION~_GO=Generated~Signature=SIGNATURE

Media CDN 会验证短时效令牌,然后生成并在 LONG_TOKEN_NAME 查询参数中存储长时效令牌。

将媒体播放列表和媒体片段路由配置为需要长时段令牌

将媒体播放列表和媒体片段路由配置为需要长时段令牌。

控制台

Cookie

为媒体播放列表和媒体片段路由创建路由规则:

  1. 修改边缘缓存服务页面的路由部分,点击具有主要清单路由的主机规则。
  2. 点击添加路由规则
  3. 修改路由规则窗格中,为优先级设置一个大于主要清单路由的值,例如 2。值越高,优先级越低。
  4. 说明中,提供简短的说明,以便在规则列表中识别规则。
  5. 按照建议设置以下字段:

    • 选择来源:与主要清单路由规则相同
    • 添加匹配条件:与主要清单路线规则相同
    • 类型CDN 政策
    • 签名请求模式需要令牌
    • 选择密钥集:与长时效令牌相同
    • 签名算法:与主要清单路由规则相同
  6. 展开双令牌身份验证

  7. 对于签名操作,保留默认值 None

  8. 点击完成,然后点击保存

网址查询参数

  1. 为媒体播放列表创建路由规则。

    1. 修改边缘缓存服务页面的路由部分,点击具有主要清单路由的主机规则。
    2. 点击添加路由规则
    3. 修改路由规则窗格中,为优先级设置一个大于主要清单路由的值,例如 2。值越高,优先级越低。
    4. 说明中,提供简短的说明,以便在规则列表中识别规则。
    5. 按照建议设置以下字段:

      • 选择来源:与主要清单路由规则相同
      • 添加匹配条件:与主要清单路由规则相同
      • 类型CDN 政策
      • 签名请求模式需要令牌
      • 选择密钥集:与长时效令牌相同
      • 签名算法:与主要清单路线规则相同
      • 令牌查询参数:与长时效令牌相同
    6. 展开双令牌身份验证

    7. 对于签名操作,选择传播现有的长时令牌

      只有在 Media CDN 验证长期令牌是使用通过 HLS 清单网址查询参数(不使用 Cookie)签名类型生成的后,此选项才会启用。

    8. 对于令牌查询参数,保留默认值 edge-cache-token

    9. 点击完成,然后点击保存

  2. 为媒体片段创建路由规则。

    此路线与媒体播放列表的路线类似,但存在以下主要差异:

    • 对于优先级,请设置一个大于媒体播放列表路由规则的值,例如 3
    • 说明中,提供简短的说明,以便在规则列表中识别规则。
    • 双令牌身份验证部分中,对于签名操作,保留默认值 None

gcloud 和 YAML

修改 YAML 文件:

Cookie

将媒体播放列表和媒体片段配置为需要长时效 Cookie:

    - priority: 2
      description: "SEGMENTS_ROUTE_DESCRIPTION"
      origin: "ORIGIN_NAME"
      matchRules:
      - pathTemplateMatch: "/**.m3u8" # HLS media playlists
      - pathTemplateMatch: "/**.ts" # HLS segments
      - pathTemplateMatch: "/**.m4s" # DASH / CMAF segments
      routeAction:
        cdnPolicy:
          cacheMode: CACHE_ALL_STATIC
          signedRequestMode: REQUIRE_TOKENS
          signedRequestKeyset: LONG_KEYSET_NAME

SEGMENTS_ROUTE_DESCRIPTION 替换为路线的说明。

以下代码示例实现了以下更改:

  • priority: 2:路由的优先级。值越高,优先级越低。由于媒体播放列表和媒体片段的路由与以 .m3u8 结尾的任何文件名匹配,因此该路由的优先级必须低于您之前为主要清单创建的路由。
  • signedRequestMode: REQUIRE_TOKENS:强制为媒体播放列表和媒体片段强制执行令牌。如果您使用的是静态媒体呈现说明 (MPD) 文件,则长键值集和短键值集可能会有所不同。如果您使用的是动态 MPD 文件,则长键值集和短键值集必须相同。
  • signedRequestKeyset: LONG_KEYSET_NAME:媒体 CDN 使用长时密钥集来验证用户代理为媒体播放列表和媒体片段请求提供的长时 Cookie。

网址查询参数

添加两项路由配置:

  1. 配置 HLS 媒体清单路由以传播长时段令牌:

       - priority: 2
         description: "PLAYLIST_ROUTE_DESCRIPTION"
         origin: "ORIGIN_NAME"
         matchRules:
         - pathTemplateMatch: "/**.m3u8" # HLS media playlists
         routeAction:
           cdnPolicy:
           cacheMode: CACHE_ALL_STATIC
           signedRequestMode: REQUIRE_TOKENS
           signedRequestKeyset: LONG_KEYSET_NAME
           addSignatures:
             actions:
             - PROPAGATE_TOKEN_HLS_COOKIELESS
    

    PLAYLIST_ROUTE_DESCRIPTION 替换为路线的说明。

    以下代码示例实现了以下更改:

    • priority: 2:路由的优先级。值越高,优先级越低。由于媒体播放列表的路由与以 .m3u8 结尾的任何文件名匹配,因此该路由的优先级必须低于您之前为主要清单创建的路由。
    • signedRequestMode: REQUIRE_TOKENS:强制为媒体播放列表和媒体片段强制执行令牌。如果您使用的是静态媒体呈现描述 (MPD) 文件,则长键集和短键集可能会有所不同。如果您使用的是动态 MPD 文件,则长键值集和短键值集必须相同。
    • signedRequestKeyset: LONG_KEYSET_NAME:媒体 CDN 使用长时密钥集来验证用户代理为媒体播放列表和媒体片段请求提供的长时 Cookie。
    • addSignatures.actions: PROPAGATE_TOKEN_HLS_COOKIELESS:配置媒体 CDN 以将长时段令牌复制到媒体播放列表中的媒体片段 URI。
  2. 将细分路线配置为需要长时段令牌:

       - priority: 3
         description: "SEGMENTS_ROUTE_DESCRIPTION"
         origin: "ORIGIN_NAME"
         matchRules:
         - pathTemplateMatch: "/**.ts" # HLS segments
         routeAction:
           cdnPolicy:
             cacheMode: CACHE_ALL_STATIC
             signedRequestMode: REQUIRE_TOKENS
             signedRequestKeyset: LONG_KEYSET_NAME
    

    SEGMENTS_ROUTE_DESCRIPTION 替换为路线的说明。

    以下代码示例实现了以下更改:

    • priority: 3:路由的优先级。值越高,优先级越低。此路由的优先级必须低于您之前为媒体播放列表创建的路由。
    • signedRequestMode: REQUIRE_TOKENS:强制为媒体播放列表和媒体片段强制执行令牌。
    • signedRequestKeyset: LONG_KEYSET_NAME:媒体 CDN 使用长时段密钥集来验证用户代理为媒体播放列表和媒体片段请求提供的长时段签名令牌。

示例配置文件

以下代码示例展示了一个已完成的配置文件:

Cookie

name: SERVICE_NAME
routing:
  hostRules:
  - hosts:
    - DOMAIN_NAME
    pathMatcher: routes
  pathMatchers:
    - name: "ROUTE_NAME"
      routeRules:
      - priority: 1
        description: "ROUTE_DESCRIPTION"
        origin: "ORIGIN_NAME"
        matchRules:
        - pathTemplateMatch: "/HLS_MASTER_PLAYLIST.m3u8" # HLS primary playlists
        - pathTemplateMatch: "/DASH_MANIFESTS.mpd" # DASH manifests
        routeAction:
          cdnPolicy:
            cacheMode: CACHE_ALL_STATIC
            signedRequestMode: REQUIRE_TOKENS
            signedRequestKeyset: SHORT_KEYSET_NAME
            signedRequestMaximumExpirationTtl: SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME
            addSignatures:
              actions:
                - GENERATE_COOKIE
              keyset: LONG_KEYSET_NAME
              tokenTtl: TOKEN_EXPIRATION_TIME
              copiedParameters:
                - PathGlobs
                - SessionID
      - priority: 2
        description: "SEGMENTS_ROUTE_DESCRIPTION"
        origin: "ORIGN_NAME"
        matchRules:
        - pathTemplateMatch: "/**.m3u8" # HLS media playlists
        - pathTemplateMatch: "/**.ts" # HLS segments
        - pathTemplateMatch: "/**.m4s" # DASH / CMAF segments
        routeAction:
          cdnPolicy:
            cacheMode: CACHE_ALL_STATIC
            signedRequestMode: REQUIRE_TOKENS
            signedRequestKeyset: LONG_KEYSET_NAME

网址查询参数

name: SERVICE_NAME
routing:
  hostRules:
  - hosts:
    - DOMAIN_NAME
    pathMatcher: routes
  pathMatchers:
    - name: "ROUTE_NAME"
      routeRules:
      - priority: 1
        description: "ROUTE_DESCRIPTION"
        origin: "ORIGIN_NAME"
        matchRules:
        - pathTemplateMatch: "/HLS_PRIMARY_PLAYLIST.m3u8" # HLS primary playlists
        routeAction:
          cdnPolicy:
            cacheMode: CACHE_ALL_STATIC
            signedRequestMode: REQUIRE_TOKENS
            signedRequestKeyset: SHORT_KEYSET_NAME
            signedRequestMaximumExpirationTtl: SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME
            signedTokenOptions:
              tokenQueryParameter: SHORT_TOKEN_NAME
            addSignatures:
              actions:
                - GENERATE_TOKEN_HLS_COOKIELESS
              keyset: LONG_KEYSET_NAME
              tokenTtl: TOKEN_EXPIRATION_TIME
              tokenQueryParameter: LONG_TOKEN_NAME
              copiedParameters:
                - PathGlobs
                - SessionID
      - priority: 2
        description: "PLAYLIST_ROUTE_DESCRIPTION"
        origin: "ORIGIN_NAME"
        matchRules:
        - pathTemplateMatch: "/**.m3u8" # HLS media playlists
        routeAction:
          cdnPolicy:
            cacheMode: CACHE_ALL_STATIC
            signedRequestMode: REQUIRE_TOKENS
            signedRequestKeyset: LONG_KEYSET_NAME
            addSignatures:
              actions:
                - PROPAGATE_TOKEN_HLS_COOKIELESS
      - priority: 3
        description: "SEGMENTS_ROUTE_DESCRIPTION"
        origin: "ORIGIN_NAME"
        matchRules:
        - pathTemplateMatch: "/**.ts" # HLS segments
        routeAction:
          cdnPolicy:
            cacheMode: CACHE_ALL_STATIC
            signedRequestMode: REQUIRE_TOKENS
            signedRequestKeyset: LONG_KEYSET_NAME

在应用服务器上生成短时有效的令牌

如需了解如何生成令牌,请参阅生成令牌

应用纵深防御内容保护措施

最佳实践是按如下方式启用源身份验证: